Si no está completamente actualizado sobre el problema de Log4j, aquí hay algunos detalles y un par de actualizaciones:
Nuestra base de datos SCA se actualiza con el problema Log4J para garantizar que los clientes puedan identificar y solucionar el problema.
A continuación, se muestra un resumen del problema técnico:
Resumen técnico:
El día 10 de diciembre se informó sobre una nueva vulnerabilidad de día cero de Log4J en Twitter: https://twitter.com/P0rZ9/status/1468949890571337731 El primer PoC (Prueba de concepto) de la vulnerabilidad ya está disponible en el momento de escribir este artículo - https: // github.com/tangxiaofeng7/apache-log4j-poc
Según RedHat (fuente: https://access.redhat.com/security/cve/cve-2021-44228) está clasificado como 9,8 CVSSv3, que es casi tan malo como parece. Si se explota con éxito en su infraestructura, los atacantes podrán realizar un ataque RCE (ejecución remota de código) y comprometer el servidor afectado. Dada la relativa simplicidad del exploit, es probable que su equipo de respuesta a incidentes deba ocuparse de un ataque.
Hay varios informes de que la vulnerabilidad se está explotando activamente en la naturaleza y debe ser parcheada de inmediato; ya hay una versión parcheada de Log4j disponible: https://logging.apache.org/log4j/2.x/security.html
Próximos pasos:
Hay una comunicación con el cliente que se enviará a todos los clientes a primera hora del lunes por la mañana. Además, estamos trabajando en los pasos para ofrecer a los clientes estáticos existentes que no poseen SCA un rastro gratuito de SCA en caso de que deseen escanear su código para comprender los impactos potenciales de Log4j en su entorno.
Incluyo información adicional sobre el problema, así como los artefactos de Veracode, en apoyo de nuestra recomendación de los próximos pasos.
Cliente de Veracode que tiene SCA:
Envíe una nota breve a sus clientes clave de SCA informándoles que se aplicó nuestra actualización de la base de datos de vulnerabilidades y que los resultados se actualizaron para todos los clientes en función de su último análisis completo. Hágales saber que se les entregará una comunicación formal el lunes a la mañana.
Aquí está el enlace a la base de datos de SCA:
https://sca.analysiscenter.veracode.com/vulnerability-database/security/remote-code-execution-rce-/java/sid-33244 no dude en enviar esto a sus clientes. Si tienen preguntas, podemos brindarles experiencia para responder a sus preguntas e inquietudes. Su SA puede coordinar estas respuestas.
Cliente de Veracode que no es propietario de SCA:
Ofrézcales una prueba gratuita de SCA para que tengan la oportunidad de escanear su entorno e identificar el alcance del impacto de Log4j en su entorno. Estamos trabajando en el proceso para que realicen una prueba gratuita / prueba de valor.
Consulte a continuación para obtener más información, siéntase libre de compartir esta información con sus clientes y prospectos y compartirla a través de los canales de las redes sociales:
Transmisión en vivo de Chris Wysopal en Log4j Zero Day:
Análisis de Veracode sobre la situación:
Información pública adicional sobre el problema Log4j:
Para conocer más sobre #veracode puede revisar nuestro portafolio y solicitar la asesoría de uno de nuestros especialistas: https://vialynk.com/veracode